如何透過連接至傳輸閘道的單一 VPN 連線啟用多個 VPC 之間的通訊,而不允許 VPC 之間的存取?
2 分的閱讀內容
0
我有兩個虛擬私有雲端 (VPC)。內部部署使用者需要透過單一 VPN 連線來存取兩個 VPC。我想要透過單一 VPN 連線,在 VPC 與內部部署網路之間建立網路連線。該如何進行?
簡短描述
如果您有兩個 VPC (如生產環境和開發環境) 且具有單一 VPN 連線,請依照下列步驟在多個 VPC 中的資源之間建立網路連線,以便實現以下操作:
- 內部部署使用者可透過 VPN 存取所有 VPC 的資源
- VPC 資源無法存取其他 VPC 中的資源
解決方案
建立傳輸閘道,然後連接 VPC 和站台對站台 VPN
- 在 Amazon Virtual Private Cloud (Amazon VPC) 主控台中,建立傳輸閘道。
注意:建立傳輸閘道時,關閉預設關聯路由表設定。 - 將 VPC 連接至傳輸閘道。
- 建立站台對站台 VPN 連線,然後將其連接至傳輸閘道。
注意:若要將 VPN 路由自動傳播至傳輸閘道路由表,請為 Routing option (路由選項) 選擇 Dynamic (動態)。此選項需要邊界閘道協定。
建立傳輸閘道路由表,並將其與 VPC 建立關聯
- 開啟 Amazon VPC 主控台。
- 在導覽窗格中,選擇 Transit gateways (傳輸閘道)。
- 確認傳輸閘道的 Default association route table (預設關聯路由表) 設定是否設定為 Disable (停用)。
注意:如果 Default associate route table (預設關聯路由表) 設定為 Enable (啟用),請跳至步驟 9。 - 選擇 Transit gateway route tables (傳輸閘道路由表)。
- 選擇 Transit gateway route tables (建立傳輸閘道路由表)。
針對 Name tag (名稱標籤),輸入 Route Table A (路由表 A)。
針對 Transit gateway ID (傳輸閘道 ID),選擇傳輸閘道的 ID。
然後,選擇 Create transit gateway route table (建立傳輸閘道路由表)。 - 選擇您在上一個步驟中建立的路由表 A,或傳輸閘道的預設路由表。
- 選擇 Associations (關聯),然後選擇 Create association (建立關聯)。
- 針對 Choose attachment to associate (選擇要關聯的附件),選擇 VPC 的關聯 ID。然後,選擇 Create association (建立關聯)。 重複此步驟,直至所有 VPC 都顯示在 Association (關聯) 下。
- 從預設傳輸閘道路由表中刪除 VPN 關聯。
建立第二個傳輸閘道路由表,並將其與 VPN 連線建立關聯
- 在 Amazon VPC 主控台中,選擇傳輸閘道路由表。
- 選擇 Transit gateway route tables (建立傳輸閘道路由表)。
針對 Name tag (名稱標籤),輸入 Route Table A (路由表 B)。
針對 Transit gateway ID (傳輸閘道 ID),選擇傳輸閘道的 ID。
然後,選擇 Create transit gateway route table (建立傳輸閘道路由表)。 - 選擇您在上一個步驟中建立的 Route Table B (路由表 B)
- 選擇 Associations (關聯),然後選擇 Create association (建立關聯)。
- 與您透過 Route Table B (路由表 B) 建立的 VPN 連線建立關聯。
將路由從 VPC 和 VPN 傳播至兩個路由表
- 在 Amazon VPC 主控台中,選擇傳輸閘道路由表。
- 選擇 Route Table A (路由表 A)。
- 選擇 Actions (動作),然後選擇 Create propagation (建立傳播)。
- 針對 Choose attachment to propagate (選擇要傳播的附件),選擇所有 VPC 的傳播。如果您已啟用所有附件的傳播,請確認此路由表中未啟用 VPN 連線關聯。
重要事項:如果您建立了靜態路由 VPN 連線,而非動態路由,必須在路由表 A 上建立內部部署網路連線至 VPN 的靜態路由。針對以政策為基礎靜態 VPN 連線,只允許一對安全關聯 (SA)。將 VPC 的內部部署 CIDR 和 CIDR 整合至單一 SA。如需詳細資訊,請參閱如何解決 AWS VPN 端點和基於政策的 VPN 之間的連線問題? - 選擇 Create propagation (建立傳播)。
- 在傳輸閘道路由表中,選取 Route table B (路由表 B)。
- 選擇 Actions (動作),然後選擇 Create propagation (建立傳播)。
- 對於 選擇要傳輸的附件 ,選擇所有 VPC 的傳輸。然後,選擇 Create propagation (建立傳播)。
設定與 VPC 和附件子網路關聯的路由表
- 在 Amazon VPC 主控台中,選擇 Route tables (路由表)。
- 選擇連接至附件子網路的路由表。
- 選擇 Routes (路由) 索引標籤,然後選擇 Edit routes (編輯路由)。
- 選擇 Add route (新增路由) 索引標籤。
在 Destination (目的地) 中,選擇內部部署網路的子網路。
在 Target (目標) 中,選擇您的傳輸閘道。 - 選擇 Save routes (儲存路由)。
注意:如果您的使用案例需要在 VPC 之間進行更嚴格的存取,則為每個 VPC 建立單獨的路由表並設定路由。請記住:
- 傳輸閘道路由表中的路由,以傳輸閘道關聯與傳輸閘道路由表之間的關聯為基礎。
- 您可以在任何傳輸閘道路由表中,設定傳輸閘道連接中任何目的地的路由。傳輸閘道連接不需要與該特定路由表關聯。
AWS 官方已更新 3 年前
沒有評論
相關內容
- 已提問 5 個月前lg...
- 已提問 1 年前lg...
- 已提問 2 年前lg...
- AWS 官方已更新 3 年前
- AWS 官方已更新 3 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 3 年前